1.1. 基础概念

EFK不是一个软件,而是一套解决方案,开源软件之间的互相配合使用,高效的满足了很多场合的应用,是目前主流的一种日志系统。 EFK是三个开源软件的缩写,分别表示:Elasticsearch , Filebeat, Kibana , 其中Elasticsearch负责日志保存和搜索,Filebeat负责收集日志,Kibana 负责界面。

Elasticsearch 是一个实时的、分布式的可扩展的搜索引擎，允许进行全文、结构化搜索，它通常用于索引和搜索大量日志数据，也可用于搜索许多不同类型的文档。

Filebeat是数据采集的得力工具。将 Filebeat和您的容器一起置于服务器上，然后便可在 Elastisearch 中集中处理数据。

Kibana 核心产品搭载了一批经典功能：柱状图、线状图、饼图、旭日图，等等。不仅如此，您还可以使用 Vega 语法来设计独属于您自己的可视化图形。所有这些都利用 Elasticsearch 的完整聚合功能。

1.2. 日志排查

1.2.1. 如何在界面查看日志

日志在Discover模块：

可以通过修改索引模式来查看不同机器（集群）下的日志：

添加日志需要展示的字段：

1.2.2. 查询某个服务的日志

1、选择集群环境

2、添加application 或者appname过滤条件，选择需要查看服务的日志

可以通过左侧字段筛选来选择想要查看的应用日志

也可以通过“添加筛选”来筛选应用日志

3、选择日志时间范围

1.2.3. 查询错误日志

1.2.3.1. 从前端搜索错误日志

1、浏览器报错时，点击F12。找到对应报错的请求，复制traceId

2、筛选traceId，查询日志

1.2.3.2. 搜索任务错误日志

1、在“任务运行历史”页面找到失败的任务名称，复制溯源ID【】括号中的id内容

2、在kibana中输入message: "8b8c755d6de44f8ea1f3105b56090cb3"，复制得到的LUNA_TID

3、搜索LUNA_TID

1.2.4. 搜索技巧

• 精确搜索

       搜索框内输入message: "rowversion from t_bd_currencies"。针对message字段进行搜索，在搜索的时候不会区分大小写，也就是说，ROWVERSION FROM T_BD_CURRENCIES也是会被搜索出来的。上面的"rowversion from t_bd_currencies"使用了引号，这3个单词会被作为一个词进行查询，不会再进行分词，也就是说匹配的时候只会匹配rowversion from t_bd_currencies这样的顺序匹配，而不会匹配出rowversion,test from t_bd_currencies

• 多字段匹配搜索

        针对message搜索，输入message: rowversion from t_bd_currencies，去除上面例子中的双引号。搜索结果为message中包含rowversion或from或t_bd_currencies的结果。

• 连接词搜索

搜索时，可以用and or not三种连接词进行搜索。

搜索(application : "ats-usercore" and not level : "INFO") or message : "default"。可以得到application为ats-usercore且日志级别不为INFO的日志，或者得到message字段中包含default的日志。